Estoy en un cyber, sniffeo y veo este paquete y otros parecidos


No se mucho de esto, pero parece que se esta mapeando un puerto en el router. Es la primera vez que me cruzo con esto, yo no esoy mapeando nada, esto es normal? o hay algun bichito es esta maquina? (momento de paranoia)... mmm y es posible mapear un puerto en un router de algun modo parecido a este sin tener el password? Gracias.

Esto tiene que ver con UPnP (Universal Plug & Play)???

es la segunda modificacion      (creo que di en el clavo)


alguien sabe algo de esto? algun modo de acceder a un router con un ataque que emplee esta tecnologia?

3RA MODIFICACION JAJAJJ
YA LO ENCONTRÈ:

hay una herramienta para modificar las reglas de los routers o firewalls que esten con el UPNP habilitado: unpnscann (escanea la "vulnerabilidad")


y despues hay otra para modificar, bueh todo esta aca:

http://www.hackszine.com/blog/archive/2007/10/upnp_change_a_routers_firewall.html

me tope con todo esto de casualidad (como casi todo) espero que les sea util. Salu2

lo mio en vb6 casi esta listo, me la resbusqué y todo funciona con un solo thread (seguramente es mas lento, pero no sustancialmente). Cuando lo termine posteo un diagrama de flujo o pseudocodigo asi cualquiera lo puede pasar facilmente a su lenguaje.(con algunas paginas funciona y con otras no, pero creo que ya se donde esta el error)

Vi un par de cosas, entre las cuales esta:

inicio el proxy escuchando en el puero 8080 y cuando conecto desde el browser a una pagina atraves del proxy veo que los paquete que llegan al proxy no tienen esta forma

 GET /index.html HTTP/1.1
 Host: www.pagina.com
 Connection: Keep-Alive
 User-Agent: Mochila4.0

sino esta:

 GET http://www.pagina.com/index.html HTTP/1.1
 Host: www.pagina.com
 Proxy-Connection: Keep-Alive
 User-Agent: Mochila4.0

o sea que el proxy no solo tiene que reenviar los paquetes recibidos, sino que tambien tiene que modificar las cabeceras porque sino da error.

Entonces se me hizo mas facil configurar el navegador para no usar proxy y poner en la barra de direcciones http://localhost:8080
y solo modificar el campo Host de las cabeceras cambiando http://localhost:8080 por www.pagina.com.

Pero eso en realidad no es un proxy con todas la letras sino una herramienta parecida.

Algunos tips`s:

Se necesitan varias conexiones para recibir una pagina (no se puede con un solo socket) por esto es que no aparecen las imagenes. El proxy tiene que aceptar una conexión y mantenerse a la escucha para otras conexione y poder atenderlas a todas (threads o semaforos)

Al principio tampoco me aparecian las imagenes porque los paquetes que recibia los pasaba de un buffer de bytes a un string para leerlo y al primer 0 que habia en la imagen se me cortaba (me costo darme cuenta de este detalle y es una p3lotu##z)

Algunas paginas aceptan las peticiones aunque en el campo Host este la direccion de otra pagina y otras no (google y yahoo)

y... creo que en algunas paginas se toman elementos de otras paginas asi que cuando se recibe una peticion desde el navegador para conectarse atraves de un nuevo socket, hay que usar el campo Host para saber bien a donde debe conectarse el proxy (si hay que modificar la cabecera o no)

Salu2. (pérdón pór nó úsár tíldés  )

me pasó en varias maquinas, ni siquiera debuggeaba el cliente, solo el server, pero si mientras estaba el olly ejecutandose tambien estaba el cliente... el olly se apagaba. Quizás solo la protección consistia en ver que procesos están ejecutándose y si hay algún debugger conocido apagarlo. Voy a intentar cambiarle el nombre al olly, pero esto no creo que funcione seria una protección muy pobre jajajajaj.

Lo que hice fue cualquier cosa, ni siquiera se le puede cambiar el nombre al Olly, si se lo cambio no funciona porque dice que no se encuentra el archivo OLLYDBG.exe

Igual ya terminé con mi trabajo... debuggeando, modificando el ejecutable del server y probandolo con el cliente. Una y otra vez hasta que di en el clavo.

Muchas gracias por interesarte ShadowDark 

Hace unos dias que empecé con un trabajito con el olly y mientras lo hice en mi casa fue de diez, pero si estoy en un cyber o en la máquina de algún conocido y quiero adelantar un poco, cuando me descargo el olly de su página e intento ejecutar sucede que descarga mal el zip o ni bien lo ejecuto se apaga el olly. Esto no sucede con la version que tengo descagada de hace tiempo en mi casa. Alguien sabe algo?

-----------------------------
Creo que lo resolví.

Estoy trabajando con un cliente y un servidor.
Cuando debuggeaba el server solo estaba todo bien, cuando ejecutaba el olly con el cliente corriendo tambien en la misma maquina me cerraba el olly. listo. Si quieren borrar el post OK. Saludos.

ah, como puedo evitar esto?? hay algun parche para el olly o algo por el estilo?

吸血鬼 gracias por ayudar. Mi última pregunta y ya dejo de molestar ¿Se puede ejecutar un programa X.exe solo con privilegios de administrador y que inyecte un hilo en un proceso que este corriendo en ring 0?

¿Con esta tecnica, se puede hacer que otro proceso falle sobreescribiendo su memoria? y si es asi... ¿Se puede uno tirar un Antivurus o un Firewall?

Habia leido  a la pasada sobre inyecciones de ese tipo pero nunca le habia prestado mucha atencion, no sabia que eran asi. O sea que se puede crear un hilo en un proceso que no es necesariamente el del programa malicioso y sin tener privilegios de kernel ni nada por el estilo?

honestamente ya estaba naufragando en google y al final encontre algo (muy pobre) gracias por la mano.

¿como que nadie la ha visto? cada vez que necesito cosas de winsock --> http://www.msdn.microsoft.com, pero casi todo lo que esta en español esta traducido con programas traductores que son bastante "frios" por esto NO te recomendaria tanto este link:

http://msdn2.microsoft.com/es-es/library/default.aspx

qizas lo que estes buscando es tener un compedio directamente en tu maquina, pero no creo que sea necesario si te manejas bien en la pagina y tenes un minimo grado de ingles.

Alguien tiene o conoce algun link con el codigo fuente de algun servidor proxy? Gracias.

Alguien tiene o conoce algún link con el código fuente de algún servidor proxy? Gracias.

Estoy programando un servidor proxy, basicamente es un programa local para ver los paquetes tcp que envian y reciben mis programas. Abre dos sockets uno a la escucha (en mi misma maquina) y otro se conecta a un host remoto.
Por ejemplo si quiero conectarme con el IE a www.google.com, con el google me conecto a http:/localhost y entonces mi proxy acepta la peticion y se conecta a ww.google.com. Las peticiones que recibe del IE las envia a google y los paqutes que recibe de google los envia al IE.
Mi duda/Problema es el siguiente: p/e si google me manda 3 paquetes seguidos con mas o menos 1500 bytes, mi proxy solo le manda uno o quizas uno y medio al IE, ¿esto tiene que ver conque mi proxy pierde mucho tiempo mostrando la informacion y que los paquetes que me manda google se sobreescriben en la memoria o se pierden?¿que pasa con los paquetes que recibo y todavia no los leo?o sea si recibo paquetes a mas velocidad de lo que los puedo leer ¿como opera con esto winsock? gracias.  ah y felices fiestas (me entere que en wikipedia que la navidad en Ucrania es el 7 de enero  )

como se hace eso en las nuevas cuentas de hotmail? no es como antes, esa interfaz es un horror. 

en ms-dos net view te muestra los nombres de las maquinas que estan en la red. hace ping a todos esos nombre y listo.

mi duda venia por esto: si un vecino tiene internet inalambrica, no por tener una notebook en mi casa voy a tener internet tambien, a menos que mi vecino tenga wifi y llege señal a mi casa.

Todo esto se generò porque no se bien para que sirven esas antenas caseras que se hacen con los cilindos de papas fritas tipo Pringles.